试题
| 1 | Gary的笔记本电脑已成功取证并制作成镜像 (Forensic Image),下列哪个是其MD5哈希值。 | |
| A. | 0CFB3A0BB016165F1BDEB87EE9F710C9 | |
| B. | 5F1BDEB87EE9F710C90CFB3A0BB01616 | |
| C. | A0BB016160CFB3A0BB0161661670CFB3 | |
| D. | 16160CFB3A0BB016166A0BB016166167 | |
| E. | FB3A0BB016165 B016166 A0DF7FJE2EJ0 |
| 2 | 根据此镜像 (Forensic Image),里面有多少个硬盘分区? | |
| A. | 1 | |
| B. | 2 | |
| C. | 3 | |
| D. | 4 | |
| E. | 5 |
| 3 | 你能找到硬盘操作系统分区内的开始逻辑区块地址(LBA)? | |
| A. | 0 | |
| B. | 512 | |
| C. | 2,048 | |
| D. | 206848 | |
| E. | 102,402,047 |
| 4 | 你能找到硬盘操作系统分区的大小吗 (字节byte)? | |
| A. | 48.7 | |
| B. | 102,195,200 | |
| C. | 140,232,703 | |
| D. | 19,369,295,872 | |
| E. | 52,323,942,400 |
| 5 | 在包含操作系统的分区内,$MFT的物理起始偏移位置是什么? | |
| A. | 3328 | |
| B. | 4170040 | |
| C. | 6026176 | |
| D. | 6291456 | |
| E. | 16949352 |
| 6 | 请找出系统文件“SOFTWARE",请问操作系统的安装日期是? (答案格式 -“世界协调时间":YYYY-MM-DD HH:MM UTC) | |
| A. | 2017-09-14 02:10 UTC | |
| B. | 2017-09-14 02:11 UTC | |
| C. | 2017-09-14 02:12 UTC | |
| D. | 2017-09-14 02:13 UTC | |
| E. | 2017-09-14 02:14 UTC |
| 7 | 用户“Gary"的SID是什么? | |
| A. | 1000 | |
| B. | 1001 | |
| C. | 1002 | |
| D. | 1005 | |
| E. | 1007 |
| 8 | 用户“彼得"的SID是什么? | |
| A. | 1000 | |
| B. | 1001 | |
| C. | 1002 | |
| D. | 1005 | |
| E. | 1007 |
| 9 | 硬盘的操作系统是什么? | |
| A. | Windows 7 | |
| B. | Windows 8 | |
| C. | Windows 10 | |
| D. | Linux Red Hat 7.1 | |
| E. | MAC OS X |
| 10 | 哪个是Windows的默认浏览器? | |
| A. | Microsoft Internet Explorer | |
| B. | Google Chrome | |
| C. | Mozilla Firefox | |
| D. | Opera | |
| E. | QQ 浏览器 |
| 11 | 用户 “Gary"曾经浏览过一些非法博彩网站,下列哪项URL符合? | |
| a. | www.10086.com | |
| b. | www.188bet.com | |
| c. | www.hv5858.com | |
| d. | www.12377.cn | |
| e. | www.88.bettingwell.com | |
| f. | www.aaakk.org | |
| A. | 只有(a) & (b) | |
| B. | (a), (b), (d) & (f) | |
| C. | (b), (c), (d) & (f) | |
| D. | (b), (c), (e) & (f) | |
| E. | 以上皆是 |
| 12 | 用户Gary曾经登入上述非法博彩网站,下列哪个是其登入名称? | |
| A. | ggchey68 | |
| B. | gany-cher88 | |
| C. | galy_chen88 | |
| D. | garychen1688 | |
| E. | garychen88 |
| 13 | 在所有用户中,用于电子邮件发送/接收的程序名称是什么? | |
| A. | 新浪邮箱 | |
| B. | 网易163 | |
| C. | 阿里邮箱 | |
| D. | Foxmail | |
| E. | Mozilla Mail – ThunderBird |
| 16 | 该Windows系统中,下列哪个是最后的关机时间? | |
| A. | 2017-10-31 4:52:54 UTC | |
| B. | 2017-10-31 4:53:54 UTC | |
| C. | 2017-10-31 4:54:54 UTC | |
| D. | 2017-10-31 4:55:54 UTC | |
| E. | 2017-10-31 4:56:54 UTC |
| 17 | 该Windows系统中,下列哪个是电脑名称? | |
| A. | GARYPC | |
| B. | GARY-PC | |
| C. | GARY_PC | |
| D. | GARY | |
| E. | GARY-NB |
| 18 | 在该Windows系统中,下列哪个是用户Gary日常使用的邮箱帐号? | |
| A. | ics_user@mail.com | |
| B. | ics_user@gmail.com | |
| C. | gary@mail.com | |
| D. | gary_chen@mail.com | |
| E. | gary_chen@gmail.com |
| 21 | 在该Windows系统中,用户Gary还曾经收过两封来自邮箱帐号 eric_wang99@outlook.com邮件,标题为“学习制作网站”,下列哪个是第二封电邮的发送日期和时间? | |
| A. | 2017-09-25 17:07:15 | |
| B. | 2017-10-17 14:35:45 | |
| C. | 2017-10-17 18:24:02 | |
| D. | 2017-10-18 18:30:45 | |
| E. | 2017-10-18 19:38:05 |
| 22 | 用户Gary还曾经收过一封来自邮箱帐号 ics_user@mail.com 的邮件,附加了两张与咖啡豆有关的相片,下列哪个是此封邮件的发送日期和时间? | |
| A. | 2017-09-25 17:07:15 | |
| B. | 2017-10-17 14:35:45 | |
| C. | 2017-10-17 18:24:02 | |
| D. | 2017-10-26 19:17:08 | |
| E. | 2017-10-26 19:24:57 |
| 25 | Gary经常使用笔记本电脑浏览互联网,他的笔记本电脑上曾经连接过多少WIFI热点? | |
| A. | 1 | |
| B. | 2 | |
| C. | 3 | |
| D. | 4 | |
| E. | 5 |
| 27 | 有关Gary的笔记本电脑,下列哪项是其最后分派得到的IP地址? | |
| A. | 192.168.0.1 | |
| B. | 192.168.10.4 | |
| C. | 192.168.20.6 | |
| D. | 192.168.30.3 | |
| E. | 192.168.40.5 |
| 29 | Eric 售卖iCloud 网站给Gary 的价钱是多少? | |
| A. | $500 | |
| B. | $800 | |
| C. | $1000 | |
| D. | $1400 | |
| E. | $1500 |
| 30 | Gary 经常将非法文件存储到该笔记本电脑的加密分区中,下列哪一个为该加密软件? | |
| A. | TrueCrypt | |
| B. | VeraCrypt | |
| C. | Bitlocker | |
| D. | LUKS | |
| E. | PGP WDE |
| 34 | 在上述加密磁区内,存有一个名为”2017-10-27”的文件夹,内有三张枪械的图片,该三张图片是来自哪个网站? | |
| A. | http://gunsdtk58tolcrre.onion | |
| B. | http://gunsjmzh2btr7lpy.onion | |
| C. | thegunstorelasvegas.com | |
| D. | cabelas.com | |
| E. | hyattgunstore.com |
| 35 | Gary的笔记本电脑曾经下载过多少张有关恐怖组织的图片? | |
| A. | 1 | |
| B. | 2 | |
| C. | 3 | |
| D. | 4 | |
| E. | 5 |
| 36 | 根据Gary与Eric邮件的内容,Eric曾经提供Gary一个私有云盘,下列哪项是该邮件提供的资料? | |
| A. | 动物图 | |
| B. | 枪的结构图 | |
| C. | 博彩图 | |
| D. | 博彩文件 | |
| E. |
| 37 | 下列哪项是上述私有云盘的网址? | |
| A. | http://mantech.mooo.cn | |
| B. | ||
| C. | http://mooo.com | |
| D. | http://mantech.com | |
| E. | http://23.54.45.113 |
| 38 | 下列哪项是上述私有云盘网址的连接端口? | |
| A. | TCP 80 | |
| B. | TCP 8080 | |
| C. | UDP 80 | |
| D. | TCP 8000 | |
| E. | TCP 443 |
| 39 | 下列哪项是Gary第一次浏览该私有云盘网址时,所使用的浏览器? | |
| A. | Microsoft Explorer | |
| B. | Google Chrome | |
| C. | Mozilla Firefox | |
| D. | Opera | |
| E. | QQ 浏览器 |
| 40 | 下列哪项是Gary第一次浏览该私有云盘网址的日期和时间? | |
| A. | 2017-10-29 12:42:09 | |
| B. | 2017-10-30 12:42:09 | |
| C. | 2017-10-31 12:42:09 | |
| D. | 2017-10-30 10:42:09 | |
| E. | 2017-10-30 11:42:09 |
| 41 | 在上述加密磁区内,存有一个名为”2017-10-30”的文件夹,里面有三张与枪械结构有关的图片,该三张图片是从哪个方法/软件下载? | |
| A. | 邮件 | |
| B. | Firefox | |
| C. | Chrome | |
| D. | USB thumb drive | |
| E. | ftp |
| 42 | Gary的笔记本电脑,曾经下载过一个感染了电脑病毒的文件,名为invoice.zip。该病毒程序文件是什么时候下载? | |
| A. | 2017-10-31 12:26:20 | |
| B. | 2017-10-31 12:50:34 | |
| C. | 2017-10-31 12:29:55 | |
| D. | 2017-10-31 10:52:10 | |
| E. | 2017-10-31 12:18:54 |
| 44 | 上述invoice.exe文件伪装成什么格式的软件? | |
| A. | | |
| B. | jpg | |
| C. | psd | |
| D. | Docx | |
| E. | Doc |
| 46 | 事实上,Gary的笔记本电脑被电脑病毒感染了,部份文件被加密,当中包括下列哪种文件类型? | |
| a. | exe | |
| b. | gif | |
| c. | jpg | |
| d. | psd | |
| e. | Docx | |
| f. | Doc | |
| A. | 只有(a) & (b) | |
| B. | (a), (b), (d) & (f) | |
| C. | (b), (c), (d) & (f) | |
| D. | (b), (c), (e) & (f) | |
| E. | 以上皆是 |
| 47 | 上述\User\Gary\Downloads\invoice\dist\invoice.exe文件共执行多少? | |
| A. | 1 | |
| B. | 2 | |
| C. | 3 | |
| D. | 4 | |
| E. | 5 |
| 48 | 上述\User\Gary\Downloads\invoice\dist\invoice.exe文件是由什么程序编写? | |
| A. | LISP | |
| B. | C++ | |
| C. | Visual Basic | |
| D. | Python | |
| E. | Java |
| 49 | 上述\User\Gary\Downloads\invoice\dist\invoice.exe文件,执行时会呼叫下列哪个动态连结函式库(Dynamic Linked Library) | |
| A. | KERNEL32.DLL | |
| B. | USER32.DLL | |
| C. | SHELL32.DLL | |
| D. | NTDLL.DLL | |
| E. | SYSTEM32.DLL |
| 51 | 上述两个文件\User\Gary\Downloads\invoice\dist\invoice.exe和 \tmp\invoice.exe是什么关系? | |
| A. | 前者是后者的复本 | |
| B. | 后者是前者的复本 | |
| C. | 两者MD5不相同 | |
| D. | 两者元数据(Metadata)相同 | |
| E. | 两者无关系 |
| 52 | 根据勒索讯息的显示,勒索网址是什么? | |
| A. | http://223.17.250.208:6000/C&C/ | |
| B. | http://223.17.250.208/C&C/ | |
| C. | http://223.17.250.208:6060/C&C/ | |
| D. | http://223.17.250.208:80/C&C/ | |
| E. | http://223.17.250.208:8080/C&C/ |
| 53 | 根据勒索讯息的显示,勒索金额是多少钱? | |
| A. | $1,000 | |
| B. | $10,000 | |
| C. | $20,000 | |
| D. | $50,000 | |
| E. | $100,000 |
| 55 | 执法机关曾在现场对Gary的电脑进行电子法证检验,期间曾撷取与勒索软件相关的屏幕影像,并储存为png格式。下列哪项是其储存位置? | |
| A. | \Users\彼得\Downloads\ | |
| B. | \Users\彼得\Desktop\ | |
| C. | \Users\Gary\Downloads\ | |
| D. | \Users\Gary\Desktop\ | |
| E. | \Users\Gary\Documents |
Keys point 分高下
| 经法证工具分析后发现Gary的笔记本电脑有三个分区硬盘,所有敏感文件均储存在一个加密磁区,而其加密匙放在下列哪个位置? | ||
| A. | \Windows\ | |
| B. | \Users\ | |
| C. | \Users\Gary\Desktop | |
| D. | \Users\Gary\Documents | |
| E. | \ | |
答案解析
1、
| A. | 0CFB3A0BB016165F1BDEB87EE9F710C9 |
2、
| C. | 3 |
3、内存物理地址的单位是字节(Byte),而一个逻辑区块占用512字节,所以要将这个值除以512=206848
| D. | 206848 |
4、48.73*1073741824为52323439083.52
| E. | 52,323,942,400 |
5、应为6498304
| D. | 6291456 |
6、北京是东八区,领先UTC时间八个小时,所以减掉后得出答案
| B. | 2017-09-14 02:11 UTC |
7、
| A. | 1000 |
8、
| B. | 1001 |
9、
| A. | Windows 7 |
10、
| A. | Microsoft Internet Explorer |
11、首先排除正常的10086和12377网站,然后搜索每个网站
| D. | (b), (c), (e) & (f) |
12、将每个选项搜索,得到garychen88
| E. | garychen88 |
13、
| E. | Mozilla Mail – ThunderBird |
14、
| C. | Samsung Portable SSD USB Device |
15、
| E. | General UDisk USB Device |
16、
| A. | 2017-10-31 4:52:54 UTC |
17、
| B. | GARY-PC |
18、
| D. | gary_chen@mail.com |
19、
| C. | 2017-10-17 18:24:02 |
20、
| D. | 2017-10-18 18:30:45 |
21、
| E. | 2017-10-18 19:38:05 |
22、
| D. | 2017-10-26 19:17:08 |
23、
| B. | 17f9c6bcca44d128f7ed6769a6920278 |
24
| E. | 2017-10-18 19:38:05 |
25、
| D. | 4 |
26、取证结果 -> 密码/密钥检索 -> 无线账号
| E. | {AF0778E8-6C4F-41C6-84B2-CB14490CF29E} |
27、取证结果 -> 系统痕迹 -> 网络配置 -> 网络连接 找到DHCPIP地址一栏有D选项的IP地址
| D. | 192.168.30.3 |
28、找到Eric发的邮件,根据提升打开附件的网页截图,找出暗网的url
| B. | http://gunsjmzh2btr7lpy.onion |
29、继续在收件箱中查找Eric与Gary的通信内容,在一封标题为“发票”的邮件中找到了疑似信息。
| C. | $1000 |
30、
| B. | VeraCrypt |
31、在收件箱中查找Eric与Gary的通信内容,在一Re:学习制作网站的邮件中找到了疑似信息。可以导出这份邮件的三份图片附件
| A. | c9fbfaf3c45492c40feb83a83217f146 |
32、做法同上
| E. | 4c57a45b8da5ea01e5eb7d875f94a7b8 |
34
| B. | http://gunsjmzh2btr7lpy.onion |
35、下载这种图片一般都是用浏览器下载,所以在取证结果 -> 上网记录 -> 下载记录 里找线索
| B. | 2 |
36、一个邮件包含三题答案
| B. | 枪的结构图 |
37、
| B. | http://mantech.mooo.com |
38、
| D. | TCP 8000 |
39、把地址http://mantech.mooo.com:8000拉进FMP实时搜索,在“上网记录”一栏找到FireFox浏览器的最新访问信息。
| C. | Mozilla Firefox |
40、取证结果 -> 上网记录 -> FireFox -> 历史记录,以时间为关键字正序排序。得出嫌疑人第一次访问该私有网盘网址的准确时间。
| B. | 2017-10-30 12:42:09 |
41、取证结果 -> 上网记录 -> FireFox -> 下载记录,发现有三张图片被下载到了E:\2017-10-30,与题目吻合
| B. | Firefox |
42、将关键字“invoice.zip”实时搜索,找到对应的文件,查看文件创建时间,得出答案。
| E. | 2017-10-31 12:18:54 |
43、将关键字“invoice.exe”实时搜索。题目要求我们得到的是文件最后存取日期,考虑到.exe文件一般不会被写,所以这个日期应该是最后的访问时间,在文件摘要中可以得到这一信息。
| A. | 2017-10-31 12:26:27 |
44、
| A. | |
45、为tmp目录下invoice.exe的访问时间。
| B. | 2017-10-31 12:50:34 |
46、
| D. | (b), (c), (e) & (f) |
47、将关键字“invoice.exe”实时搜索,然后在 用户痕迹 -> 最近程序访问记录 里面发现该程序被运行了五次。
| E. | 5 |
48、导出invoice.zip之后,发现里面有pyc文件
| D. | Python |
49、该题逆向动态调试可得
| A. | KERNEL32.DLL |
50、见43题
| B. | 2017-10-31 12:50:34 |
51、tmp为打开时生产的临时文件
| B. | 后者是前者的复本 |
52、选项的网址拉进FMP实时搜索,发现C选项对应的网址是嫌疑人用火狐浏览器访问过的。
| C. | http://223.17.250.208:6060/C&C/ |
53、在系统桌面上找找,结果发现一张screen.png,得到三题答案。
| B. | $10,000 |
54、
| D. | 1KcjhpknwGWh5QYgPx6hYGuzbZpewgBszh |
55、
| D. | \Users\Gary\Desktop\ |
